Le rôle de la gouvernance, de la conformité et du contrôle dans la transformation de la Finance

Parmi les préoccupations majeures d'un directeur financier, la gouvernance, la conformité, le contrôle et l'audit sont probablement les dernières de sa liste. Les concepteurs de logiciels traditionnels font certainement de même, reléguant le contrôle et la gouvernance au second plan, au mieux, dans les modules financiers des logiciels ERP classiques. Les concepts de contrôle ne sont pas aussi urgents que le traitement des transactions, aussi visibles que le reporting financier ou aussi sexy que les analyses.

Pour être honnête, dans les années 80, période pendant laquelle les logiciels d'entreprise ont été créés, le contrôle n'était pas une priorité. C'était l'époque d'avant les réglementations Sarbanes-Oxley, Bâle II et COSO/COBIT et des audits hors logiciels. Et, il faut bien le dire, la technologie ne permettait tout simplement pas ce niveau de contrôle. À l'époque, un gigaoctet de stockage coûtait l'équivalent de plus de 200 000 dollars d'aujourd'hui, avec des contraintes équivalentes en matière de puissance de traitement. Au mieux, les systèmes permettaient de collecter les écritures comptables et de les intégrer aux soldes du grand livre. À l'époque, il n'y avait pas vraiment besoin d'approfondir les contrôles ou bien les capacités en la matière étaient réduites. Mais le monde a changé.

Aujourd'hui, nous ne pouvons pas nous permettre de reléguer la gouvernance au second plan. Le coût du défaut de conformité est tout simplement trop élevé. Les fournisseurs d'ERP traditionnels ont réagi de manière classique en acquérant des technologies ou en créant des fonctionnalités qui se sont ensuite superposées à leurs systèmes traditionnels. Or cette approche « après-coup » de la conformité et du contrôle présente un certain nombre d'inconvénients, notamment :

Des contrôles manuels : L'utilisateur doit choisir et mettre en œuvre chaque mécanisme de contrôle. Chaque contrôle nécessite une réflexion consciente et un temps considérable qui conduisent à la mise en œuvre de contrôles minimums, plutôt qu'optimums. Si l'utilisateur doit se souvenir de mettre en place des contrôles, il est presque certain que ces contrôles ne seront pas mis en œuvre de manière uniforme.

Une inefficacité de l'approche « après-coup » : Parce qu'elles ont été ajoutées après-coup, les structures de contrôle alourdissent des processus jamais conçus à cet effet, d'où de piètres performances. Résultat : les utilisateurs désactivent les contrôles du système et gèrent la conformité manuellement.

Une documentation ingérable : Dans le contexte actuel, la documentation des contrôles est presque aussi importante que l'existence de ces contrôles. L'approche traditionnelle est basée sur une documentation manuelle avec feuilles de calcul, descriptions manuscrites et organigrammes personnalisés, qui nécessitent une mise à jour manuelle à chaque changement.

Une maintenance monumentale : Les principaux risques de contrôle des systèmes d'entreprise sont liés aux relations entre les personnes et les processus. Le modèle de contrôle « après-coup » ne s'intègre jamais complètement au système RH. Les paramètres de contrôle doivent donc être mis à jour manuellement pour tenir compte des fréquents changements de personnel et d'organisation dans les entreprises actuelles.

Jamais terminé, jamais exhaustif : Le concept de workflow étant apparu plusieurs années après la création des systèmes traditionnels, le contrôle de gestion n'en a jamais fait partie intégrante. De nombreux contrôles ont même dû être définis spécifiquement pour des processus. Ainsi, tout nouveau processus et toute modification de processus, de contrôle ou d'audit devaient être attentivement réfléchis et traités séparément. Impossible dans ces conditions d'espérer un contrôle de gestion efficace.

L'approche « après-coup » de la gouvernance et du contrôle des systèmes traditionnels était peut-être adaptée, ou presque, dans le passé, mais elle peut aujourd'hui conduire à la catastrophe : la responsabilité, la transparence, la réglementation et l'obligation de rendre des comptes pèsent plus que jamais sur les entreprises. Pour Workday, un système d'entreprise doit reposer sur une base solide de gouvernance et de contrôle. Si les processus qui gèrent les données entrant dans le système ne sont pas fiables, le système est compromis avant même sa mise en service.

Pour combler ces lacunes, Workday se base sur un principe de gouvernance fondamental : vous ne pouvez pas créer la gouvernance et le contrôle par l'audit. Vous pouvez les tester, mais vous ne pouvez pas les créer. Après une lecture, même superficielle, des cadres de gouvernance tels que COBIT et COSO, vous savez que pour établir un environnement de gouvernance efficace, les concepts et les fonctionnalités de contrôle doivent être intégrés au cœur du système. Il est littéralement impossible de superposer un logiciel de contrôle à un système d'entreprise existant et de garantir un environnement de contrôle efficace, complet, documentable, actualisable, économique et vérifiable.

Ces caractéristiques doivent être expressément développées et intégrées au système dès le départ. C'est pourquoi la stratégie de conception de A à Z de Workday a été déterminante pour son approche de la gouvernance. En fait, nous avons ainsi pu intégrer le contrôle et la gouvernance au cœur de notre système. Voici les cinq éléments clés sur lesquels repose Workday Financial Management et qui, selon nous, sont nécessaires aux systèmes financiers pour répondre aux besoins de conformité des entreprises actuelles :

Contrôles reliés aux structures de processus de gestion : Tout événement doit être modélisé et régi dans un cadre de processus de gestion (BPF) dédié. Rien ne doit s'écarter du modèle BPF.

Unification avec le système d'enregistrement de l'utilisateur : Un environnement de conformité n'est efficace que si l'ensemble du système d'entreprise connaît parfaitement les managers et les utilisateurs, ainsi que leurs rôles, autorisations et limites d'approbation, mais aussi la manière dont ils s'intègrent dans les différentes organisations. L'objet « collaborateur » ne doit pas être une notion RH séparée de la Finance. Il doit être un « objet métier » partagé par les systèmes financiers et RH.

Documentation automatique : Les processus de gestion sont définis et documentés dans l'outil BPF de Workday. Tout changement s'effectue dans l'outil, de sorte que les processus sont autodocumentés. Et comme les informations sont unifiées dans l'ensemble du système, cette documentation indique qui a effectué le changement et quand.

Audit en continu : Grâce aux structures de données modernes « in-memory », toutes les données du système sont accessibles à tout moment et en temps réel, pour un accès continu aux documents d'audits. Traditionnellement, l'audit est surtout basé sur l'évaluation du passé et la garantie de conformité.

Audit du modèle et non de la transaction : Les tests de transaction sont souvent le principal facteur de coût en matière d'audit. Les systèmes traditionnels n'intégraient pas un véritable modèle de gouvernance complet et nécessitaient donc de nombreuses informations pour réaliser des tests de transaction. Un système fondé sur un cadre unifié de contrôle et de gouvernance favorise l'approche de type « test du modèle » beaucoup plus efficace et efficiente.

Bien que les échanges concernant la gouvernance et le contrôle ne soient pas la partie la plus passionnante de la Finance, les entreprises doivent maîtriser cet aspect. Le succès de la gouvernance et du contrôle peut constituer un facteur déterminant à long terme en matière de systèmes d'entreprise et faire toute la différence entre les nouveaux systèmes et les nouvelles approches et les systèmes ERP traditionnels.

Lisez la quatrième partie de la série d'articles de Mark Nittler, « Partner Perfect: How the Finance Team Can Help Guide Business Strategy ».